我正在查看我的服务器日志,当我遇到数千个这样的 gem 时:来自多个 IP 地址:我的问题是这些垃圾是什么?这是试图执行什么?我很确定我没有使用 CGI-BIN 做任何事情。我正在运行 Ubuntu 13.04 服务器。
它写道:
69.64.59.8 - - [18/Dec/2013:16:12:43 -0500]“POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72 %6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D% 6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D% 6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+% 2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74 %6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75 %74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+% 2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76 %3D%30+%2D%6E HTTP/1.1" 404 493 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML, like Gecko) Version/6.0 Mobile/10A5355d Safari/ 8536.25"
翻译成:
- [18/Dec/2013:16:12:44 -0500] "POST /cgi-bin/php.cgi?-dallow_url_include=on-dsafe_mode=off-dsuhosin.simulation=on-ddisable_functions=""-dopen_basedir=none- dauto_prepend_file=php://input-dcgi.force_redirect=0-dcgi.redirect_status_env=0-n HTTP/1.1" 404 497 "-" "Mozilla/5.0 (iPad; CPU OS 6_0 like Mac OS X) AppleWebKit/536.26(KHTML) , 如 Gecko) 版本/6.0 Mobile/10A5355d Safari/8536.25"
这是恶意流量,但我敢打赌它不是定向的。它很可能是一个自动脚本或僵尸网络扫描漏洞。
这些类型的 URL 代表缓冲区溢出,使 PHP(等)执行任意代码。这是尝试访问您的服务器,以便攻击者可以控制它来攻击其他服务器、托管恶意软件和发送垃圾邮件。
攻击您服务器的主机可能只是其他人的计算机和服务器。他们被僵尸网络奴役去做坏事。仅仅因为它说 iPad 并不意味着它是 iPad。用户代理很容易被欺骗。
您无法阻止人们提出这些请求。总会有一群计算机在那里制造它们。
但是,如果您有时间,请将攻击 IP 报告给他们的 ISP。
这不是让某人陷入困境的情况,而是让那些 ISP 通知他们的客户他们需要清理他们的机器。如果情况持续,将这些机器从 Internet 上移除。如果更多人这样做,互联网将是一个更安全的地方。
你可以只whois <ip>拿到滥用电子邮件,但这里有一个行蒸馏下来到刚刚的电子邮件地址:
whois 69.64.59.8 | grep abuse | grep -Eo '\S+@\S+' | sort -u
为了处理其中的许多问题,您可以使用awk以下内容为攻击者编写日志:
awk '/cgi/ {print $1}' /path/to/logs | sort -u
然后就按照你的方式解决它们。你甚至可以将两者链接在一起,让事情变得更容易:
awk '/cgi/ {print $1}' /path/to/logs | sort -u | xargs -i% bash -c "echo %; whois % | grep abuse | grep -Eo '\S+@\S+' | sort -u; echo"
唯一的问题是您将丢失对日志条目的引用。这可能是也可能不是问题,具体取决于您计划编写的电子邮件。
| 归档时间: |
|
| 查看次数: |
1335 次 |
| 最近记录: |